画像提供:マイナビニュース

写真拡大

10月29日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。新型のiPad ProやMacBook Airなどの新製品が発表されたこともあり、11月7日の発売に合わせてAppleがOSのアップデートを行っている。

そのアップデートだが、「Adobe Flash Player」において、正規の更新画面を偽装し不正プログラムをインストールするという手口が確認された。一見すると普通のアップデートなのだが、裏でコインマイナーがインストールされてしまう。この現象は、正規のアップデートファイルを正規以外の場所から入手した場合に発生する。こうした被害に遭わないためにも、アップデートファイルは必ず正規の場所からダウンロード、インストールしてほしい。

○Apple、複数製品の脆弱性をアップデート

Appleは10月31日、同社製品の最新版アップデートを公開した。対象となるソフトは以下の通り。

macOS Mojave 10.14.1

macOS High Sierra (Security Update 2018-001 未適用)

macOS Sierra (Security Update 2018-005 未適用)

tvOS 12.1以前

iOS 12.1以前

watchOS 5.1以前

iTunes 12.9.1以前

iCloud for Windows 7.8以前

Safari 12.0.1以前

脆弱性は、HTTPクライアントを通じたAFPサーバ攻撃、任意のコード実行、情報漏えい、バッファオーバーフロー、権限昇格、サービス運用妨害(DoS)、ファイルシステムの改ざん、UIスプーフィング、制限回避、クロスサイトスクリプティング、アドレスバー偽装など。

中でもOSのアップデートは、XNUカーネルの脆弱性を修正するので重要度が高い。10月29日の時点でiOS 12の適用率は60%程度といわれており、今回のアップデートもスルーする人は多いと思われる。脆弱性を放置すれば、リモートでコードを実行されたり、デバイスがクラッシュするリスクが高まる。iOSとMacを使用している場合は特に注意して、早急に最新版へとアップデートを行うように。

○「おさいふPonta」にパスワードリスト攻撃による不正アクセス

ローソンが運営するWebサイト「おさいふPonta」は10月30日、第三者による不正アクセスがあったと発表した。不正に取得したユーザーIDとパスワードによる、パスワードリスト攻撃によるものだ。

攻撃は海外のIPアドレスから。2018年10月30日13時〜14時の間に、約30万件もの攻撃が行われたという。即座に当該IPアドレスからの攻撃を遮断したものの、チャージ残高の不正移行が複数件行われていた。

2018年11月6日現在、サイトからのチャージ残高・ポイント移行サービスを停止しているほか、会員情報照会・変更サービスも停止中。サービスの再開時期は未定で、時期が決まりしだい告知するとしている。なお、不正に移行されたチャージ残高については補填する予定。

○IPA、メール添付の「wiz」ファイルに注意喚起

IPA(情報処理推進機構)は、拡張子「wiz」のファイルが添付されたメールに対して注意を呼びかけている。これはマクロを悪用してマルウェアへの感染を狙う攻撃だ。

「wizファイル」は、Wordに関連付けられていることが多く、ダブルクリックで実行するとWordが起動する。通常であれば、Wordの保護機能によってマクロ攻撃が止まるのだが、ファイルを開いたとき「マクロを有効にする」「コンテンツの有効化」などの表示から有効化してしまうと、攻撃が成功してマルウェア感染する可能性がある。このマルウェアに感染すると、さらにダウンローダーとして機能し、別のマルウェアへ感染させようとする。

今回は「wizファイル」に対する警告だが、同様の手口は「pdf」「xls」などのファイルでも起こりうる。もし拡張子が「wiz」のファイルが添付されていても、それが正規なものでないかぎり、マクロやコンテンツの有効化はしないように注意したい。基本的なことではあるが、出所の分からない添付ファイルは、絶対に開いたり実行したりしないこと。

○「Flash Player」の正規更新で隠蔽した偽更新プログラム

8月上旬頃、「Adobe Flash Player」の更新プログラムを偽装したマルウェアがPalo Alto Networksによって確認された。この攻撃は、不正プログラムをインストールする際、正規のインストール画面を表示して攻撃活動を隠蔽していた。

不正プログラムはAdobe Systems以外のサイトで配布されていたもので、実行するとコインマイニングツール「XMRig」がインストールされてしまう。

アップデートファイルは必ず公式サイトからダウンロードすることだ。または、Adobe Flash Playerの自動アップデートを利用して更新するように。

○Texas Instruments製のBluetooth Low Energyチップに脆弱性

セキュリティ企業のArmisによると、Texas Instruments製のBluetooth Low Energyチップに「BLEEDINGBIT」と名付けられた脆弱性が存在する。

一つは、リモートからバッファオーバーフローを生じさせ、コードが実行される可能性があるというもの。Cisco SystemsとMeraki Networksのアクセスポイントが影響を受ける。脆弱性を抱えるチップは医療機器などに搭載されていることがあり、被害が出た場合の影響が大きくなる可能性がある。

もう一つは、ファームウェアの更新などに利用される「Over-the-Air Download」を有効化している場合に脆弱性が顕在化。Aruba Networksのアクセスポイントなどが影響を受ける。

これらの脆弱性が残っている場合、認証を必要とせずにアクセスポイント経由で侵入が可能になる。従来のセキュリティ対策では攻撃を検出できないという。

Cisco SystemsとMeraki Networksは、脆弱性が確認された機種についてアップデートを用意。Aruba Networksのアクセスポイントについては、「Over-the-Air Download」を無効化する対策が挙げられている。正確な対象機器は現在も調査中。